Avatar billede kongsteddk Nybegynder
22. maj 2006 - 18:35 Der er 6 kommentarer og
1 løsning

iptables - redirect wan til dmz

Hej.

Jeg sidder og er ved at sætte en firewall op. Jeg har sådan set fået hele fw'en sat op - men har lige et lille problem.
Jeg vil gerne have det sådan hvis man spørger efter domæne (som peger på WAN-ip'en), så skal fw'en redirecte til serveren der står i DMZ.
Håber at der er nogen der forstår mit spørgsmål... :-)

MVH
Kongsted
Avatar billede langbein Nybegynder
23. maj 2006 - 16:50 #1
Fra innsiden eller fra utsiden eller fra begge steder ? Hvis det er fra begge sider aå bør man nok se litt på hvordan firewall er bygget opp, sånn rent totalt sett. Kan du poste scriptet med anonymisering av ekstern ip .. ?
Avatar billede kongsteddk Nybegynder
23. maj 2006 - 21:49 #2
Langbein> Jeg har desværre ikke et script, da firewall'en er sat op vha. Webmin.
På nuværende tidspunkt er der kun regler for indkommende pakker - der skal også i nær fremtid laves regler for forward.
Behovet for at redirecte er fra LAN & DMZ. WAN giver jo sig selv - klienten spørger efter WAN-ip'en, og bliver NAT'et igennem til serveren i DMZ'en.

//Kongsted
Avatar billede langbein Nybegynder
24. maj 2006 - 10:33 #3
Det er forholdsvis komplissert å sette opp en slik treports firewall på en slik måte at det forwardes og filtreres riktig mellom alle kortene.

Det kan ikke la seg gjøre å sette opp noe i Webmin og noe ved hjelp av skript.

Det er de samme funksjonene og den samme dataflowen gjennom Linux kernel som håndterer det hele, slik at dette lages og konfigureres som et hele.

Den enkleste måte vil jo være å bruke en ferdig Firewall installasjon som kan 3 port DMZ, for eksempel Smoothwall.

Alternativt så kan man lage et iptables script som setter opp det hele. Vi laget et slikt script her på eksperten tidligere. Testet det også ganske godt ut, og det fungerte ok:  http://www.eksperten.dk/spm/541674
Avatar billede langbein Nybegynder
24. maj 2006 - 10:37 #4
Dette ble visst den endelige sluttfasit den gang. Man kan jo redigere bort litt hvis man synes det er unødvendig restriktivt på enkelte områder. (Bare spør i så fall.)

# eth0 =  LAN
# eth1 =  WAN
# eth2 =  DMZ

# Moduler
modprobe ip_nat_ftp
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_conntrack_irc
modprobe ip_nat_irc

# Vi flusher ut alle gamle regler
iptables -t nat -F POSTROUTING
iptables -t nat -F PREROUTING
iptables -t nat -F OUTPUT
iptables -F
iptables -F tcpflags
iptables -X tcpflags
iptables -F firewalled
iptables -X firewalled
iptables -F syn-flood
iptables -X syn-flood

# Vi setter policies, dvs default rules.
# Samtlige porter stenges normalt i utgangspunktet for all trafikk.
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

# Definerer egene chains #
iptables -N tcpflags
iptables -A tcpflags -m limit --limit 15/minute -j LOG --log-prefix TCPflags:
iptables -A tcpflags -j DROP

iptables -N firewalled
iptables -A firewalled -m limit --limit 15/minute -j LOG --log-prefix Firewalled:
iptables -A firewalled -j DROP

iptables -N syn-flood
iptables -A FORWARD -p tcp --syn -j syn-flood
iptables -A syn-flood -m limit --limit 16/s --limit-burst 24 -j RETURN
iptables -A syn-flood -j LOG --log-prefix SynFloodAttack:
iptables -A syn-flood -j DROP

# definerer ugyldige tcp-flags #
iptables -A FORWARD -p tcp --tcp-flags ALL FIN,URG,PSH -j tcpflags
iptables -A FORWARD -p tcp --tcp-flags ALL ALL -j tcpflags
iptables -A FORWARD -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j tcpflags
iptables -A FORWARD -p tcp --tcp-flags ALL NONE -j tcpflags
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN,RST -j tcpflags
iptables -A FORWARD -p tcp --tcp-flags SYN,FIN SYN,FIN -j tcpflags

# Saa var det dette med en delt internttforbindelse til lan
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

# Eventulle aapninger inn til lokale serverprosesser paa firewall pc
# Stengt her står det ingen ting
iptables -A INPUT -i eth0 -p tcp --dport 22 -s 192.168.1.0/24 -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# Stengt her staar det ingen ting.

# Sa langt er firewall helt stengt, vi må lage noen store eller smaa aapninger
# Trafikkretning ut fra Lan til internet:

# regelverk for trafikk fra lan til internett #
iptables -A FORWARD -i eth0 -o eth1 -p tcp --dport 21 -j ACCEPT    #telnet
iptables -A FORWARD -i eth0 -o eth1 -p tcp --dport 22 -j ACCEPT    #ssh
iptables -A FORWARD -i eth0 -o eth1 -p tcp --dport 23 -j ACCEPT    #ftp
iptables -A FORWARD -i eth0 -o eth1 -p tcp --dport 53 -j ACCEPT    #dns oppslag
iptables -A FORWARD -i eth0 -o eth1 -p udp --dport 53 -j ACCEPT    #dns oppslag
iptables -A FORWARD -i eth0 -o eth1 -p tcp --dport 80 -j ACCEPT    #http web
iptables -A FORWARD -i eth0 -o eth1 -p tcp --dport 110 -j ACCEPT  #pop3
iptables -A FORWARD -i eth0 -o eth1 -p tcp --dport 119 -j ACCEPT  #news
iptables -A FORWARD -i eth0 -o eth1 -p tcp --dport 143 -j ACCEPT  #imap
iptables -A FORWARD -i eth0 -o eth1 -p tcp --dport 443 -j ACCEPT  #https web
# regelverk for trafikk fra lan til internett #

# regelverk for trafikk fra lan til dmz #
iptables -A FORWARD -i eth0 -o eth2 -p tcp --dport 25 -j ACCEPT    #smtp mail
iptables -A FORWARD -i eth0 -o eth2 -p tcp --dport 80 -j ACCEPT    #http webmail client http
iptables -A FORWARD -i eth0 -o eth2 -p tcp --dport 110 -j ACCEPT    #pop3
iptables -A FORWARD -i eth0 -o eth2 -p tcp --dport 143 -j ACCEPT    #imap
iptables -A FORWARD -i eth0 -o eth2 -p tcp --dport 443 -j ACCEPT    #https webmail client https
iptables -A FORWARD -i eth0 -o eth2 -p tcp --dport 465 -j ACCEPT    #ssl-smtp
iptables -A FORWARD -i eth0 -o eth2 -p tcp --dport 993 -j ACCEPT    #ssl-imap
iptables -A FORWARD -i eth0 -o eth2 -p tcp --dport 995 -j ACCEPT    #ssl pop3
iptables -A FORWARD -i eth0 -o eth2 -p tcp --dport 3389 -j ACCEPT  #eksternt skrivebord
iptables -A FORWARD -i eth0 -o eth2 -p tcp --dport 22111 -j ACCEPT  #promail tjeneste
# regelverk for trafikk fra lan til dmz #

# Returtrafikken fra internett må slippes tilbake til lan. Benytter statefull inspection.
# lager forelopig en felles statefull inspection løsning
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# Så må det til noen åpninger inn til dmz for trafikk fra WAN/Internett:
iptables -A FORWARD -i eth1 -o eth2 -p tcp --dport 25 -j ACCEPT    #smtp mail
iptables -A FORWARD -i eth1 -o eth2 -p tcp --dport 80 -j ACCEPT    #http webmail client
iptables -A FORWARD -i eth1 -o eth2 -p tcp --dport 110 -j ACCEPT  #pop3
iptables -A FORWARD -i eth1 -o eth2 -p tcp --dport 143 -j ACCEPT  #imap
iptables -A FORWARD -i eth1 -o eth2 -p tcp --dport 443 -j ACCEPT  #https webmail client
iptables -A FORWARD -i eth1 -o eth2 -p tcp --dport 465 -j ACCEPT  #ssl-smtp
iptables -A FORWARD -i eth1 -o eth2 -p tcp --dport 993 -j ACCEPT  #ssl-imap
iptables -A FORWARD -i eth1 -o eth2 -p tcp --dport 995 -j ACCEPT  #ssl pop3
iptables -A FORWARD -i eth1 -o eth2 -p tcp --dport 22111 -j ACCEPT #promail tjeneste

# Servere på DMZ må kunne svare på requester, statefull inspection retning ut
# Dette er tatt vare paa i den forelopige statefull inspection losningen.

# Serverne på DMZ maa kunne sende mail og sjekke dns oppslag.
iptables -A FORWARD -i eth2 -o eth1 -p tcp --dport 23 -j ACCEPT    #ftp nedlasting virus def. + sw.
iptables -A FORWARD -i eth2 -o eth1 -p tcp --dport 25 -j ACCEPT    #smtp mail
iptables -A FORWARD -i eth2 -o eth1 -p tcp --dport 53 -j ACCEPT    #dns oppslag
iptables -A FORWARD -i eth2 -o eth1 -p udp --dport 53 -j ACCEPT    #dns oppslag
iptables -A FORWARD -i eth2 -o eth1 -p tcp --dport 80 -j ACCEPT    #http nedlasting (windows update)
iptables -A FORWARD -i eth2 -o eth1 -p tcp --dport 110 -j ACCEPT  #multipop sjekk av eksterne pop kontoer

# I denne forbindelse maa den kunne svare paa returtrafikk, men den generelle
# statefull inspection rule bor kunne ta seg av dette, i hvert fall inntil videre.

# AApner for loopback interface #
iptables -A INPUT -i lo -j ACCEPT

# Drop & log regel #
iptables -A INPUT -j firewalled

# aktiverer ip forwarding #
echo 1 > /proc/sys/net/ipv4/ip_forward
Avatar billede kongsteddk Nybegynder
24. maj 2006 - 10:39 #5
Langbein> Jeg vil forsøge at teste det snarest muligt, men der går nok et par dage før end at jeg får mulighed for det.
Jeg vender tilbage med resultatet. Indtil videre, så tak for scriptet... :-)

//Kongsted
Avatar billede langbein Nybegynder
04. juli 2006 - 20:12 #6
Framskritt - problemer ?
Avatar billede kongsteddk Nybegynder
14. januar 2007 - 10:14 #7
Problemet er gået i sig selv pga. indkøb af off. IP-adresser.

//Kongsted
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester